In dem Plugin WP Reset Pro zum CMS WordPress gab es eine Sicherheitslücke, durch die angemeldete Benutzer auch ohne die nötigen Rechte WordPress-Webauftritte sogar komplett löschen konnten.

Eine Sicherheitslücke im WordPress-Plug-in WP Reset Pro gestattete es angemeldeten Benutzern auch ohne die nötigen Berechtigungen, komplette Webauftritte zu löschen.

Eigentlich hilft die Software besonders Web- und Theme-Entwicklern, schnell etwaige Änderungen in WordPress wieder zurückzusetzen. Dieses Plug-in wurde in der kostenlosen Version schon mehr als 300.000 Mal installiert – der Hersteller spricht sogar von mehr als 400.000 Installationen. Die von dem Problem betroffene Pro-Version ist vermutlich nicht so verbreitet.

Die Sicherheitslücke (CVE-2021-36909, CVSS 8.8) wurde von den IT-Sicherheitsexperten von Patchstack entdeckt und umgehend dem Plug-in-Hersteller gemeldet. Nach 6 Wochen Wartezeit hat Patchstack jetzt einen Artikel mit Details dazu veröffentlicht. Das sollte den Benutzern des Plug-ins genügend Zeit zur Aktualisierung auf der bereitstehende, fehlerbereinigte Version verschafft habgeben.

Laut den Sicherheitsforschern hat das WP Reset-Plugin in der Pro-Version weder die Berechtigungen noch den zufälligen Einmal-Token der Sitzung sauber geprüft. Und das, obwohl das Plug-in Löschoperationen im Administrator-Kontext ausführt.

Also konnte jeder, der nur einen Zugang für Kommentare hat, einen Parameter wie beispielsweise %%wp übergeben und damit alle Tabellen in der Datenbank mit dem Prefix wp löschen lassen, was letztlich die komplette Internetsite von ihren Inhalten befreit…

Benutzer des Plug-ins WP Reset Pro sollten das bereitstehende Update auf Version 5.99 oder neuer jetzt bald einspielen. In der kostenlosen Version ist der Fehler scheinbar nicht vorhanden; dort sind keine Aktionen von den WordPress-Admins nötig.